富文本编辑器怎么防止xss注入？

HTML Purifier是一个采用PHP编写的HTML过滤器,可以搭配WYSIWYG编辑器使用,过滤掉XSS恶意代码.

<?php
require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
echo $purifier->purify($html);

我觉得白名单就好，留着你要用的标签，其他全部过滤

入库的时候 转义为实体字符
出库的时候还原。
并过滤掉
<script></script>
javascript:xxx;
这种

你的富文本编辑器支持什么功能就不过滤，其他的过滤就行了呗。难道你收到一个p标签你还要区分他是用你的编辑器加的还是自己手动加的？

规定要用自己的一套新语法行不？

过滤掉js脚本就行了

前端XSS过滤都会被绕过，只有在后端过滤才能万无一失。参考：
如何过滤不可信输入防御网站被XSS?